Если вы хотите обеспечить защиту трафика между географически распределенными объектами, вам не обойтись без VPN-шлюзов. Если при этом требуется защита в соответствии с законодательством (например, при передаче персональных данных), то такие шлюзы должны быть сертифицированы ФСБ России и использовать отечественные криптоалгоритмы.
Введение
Есть несколько вариантов реализации криптозащиты каналов связи: комплексный проект (собственными силами или с привлечением интегратора) и приобретение данной услуги по сервисной модели. И заказчики, и интеграторы, и сервис-провайдеры сталкиваются с одними и теми же сложностями при работе с отечественной криптографией.
Сертифицированное СКЗИ
VPN-шлюзы — это средства криптографической защиты информации (СКЗИ). Разработка, настройка, эксплуатация и другие связанные с ними работы подлежат лицензированию ФСБ России.
При сертификации разработчик согласовывает с регулятором формуляр и правила пользования, в соответствии с которыми продукт будет эксплуатироваться. Некоторые заказчики, прочитав ограничения из правил пользования, готовы вместо шифрования задействовать любые другие меры — например, для канала связи с пропускной способностью 100 Гб/с на расстоянии в пару километров проще организовать физическую защиту, а не ГОСТ-шифрование.
Рисунок 1. Защита канала связи 100Гб/c между двумя соседними зданиями
Сертификат ФСБ России выдается на 3 года с возможностью продления до 5 лет. Загвоздка заключается в том, что СКЗИ приобретают, как правило, не в день получения сертификата, а позже. В чем-то это и к лучшему, ведь за время использования другими заказчиками уже сформируется практика применения, и производитель исправит мелкие ошибки. Но в любом случае срок полезного применения уменьшается — после окончания сертификата СКЗИ «превращается в тыкву».
Поэтому по завершении срока действия сертификата необходимо приобрести либо обновление программного обеспечения, если оно совместимо с купленной ранее вычислительной платформой, либо полный комплект — программный и аппаратный компоненты. Частично проблему решает расширенная техническая поддержка производителя, которая включает возможность бесплатного получения новых версий программного обеспечения. Но почему-то в комплексных проектах о ней часто забывают; в случае же с сервисной моделью это — задача и «боль» провайдера.
Установка
Перед установкой необходимо проверить комплектность СКЗИ, указанную в формуляре. Например, некоторые модели могут оснащаться программно-аппаратным модулем доверенной загрузки, идентификаторами администраторов, дисками с эталонным образом программного обеспечения.
Требования к размещению СКЗИ регламентируются Приказом ФАПСИ от 13 июня 2001 г. №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». С 2003 г. функции ФАПСИ переданы ФСБ России.
Как видим, приказ подписан очень давно — его требования в современных реалиях довольно сложно выполнить. Например, в соответствии с этим документом помещения, в которых размещаются СКЗИ, должны охраняться, оснащаться системами контроля доступа, пожарной сигнализации и другими средствами физической безопасности. В случае с центрами обработки данных такие предписания не вызывают удивления и выполняются, а вот при установке СКЗИ в удаленных офисах этими требованиями часто пренебрегают.
Настройка
Особое внимание нужно уделять первичной настройке СКЗИ. Обычно это делается либо на специализированном автоматизированном рабочем месте администратора, либо посредством локальной настройки с помощью монитора и клавиатуры. При этом к рабочему месту администратора предъявляется ряд требований: использование только лицензионного программного обеспечения, защита от несанкционированного доступа, подключение к СКЗИ доверенным способом (напрямую или по шифрованному в соответствии с ГОСТом каналу) и т.д.
Перед настройкой необходимо проверить соответствие версии и контрольных сумм на СКЗИ и в формуляре, ввести номер лицензии и инициализировать датчик случайных чисел.
После этого можно приступать непосредственно к разработке политики безопасности, то есть определить, как устройства будут идентифицировать и аутентифицировать друг друга при создании защищенного соединения, какой трафик шифровать/пропускать/запрещать, какую политику безопасности использовать при сбое программного обеспечения и в других нестандартных ситуациях.
Не стоит забывать и о защите самого СКЗИ: не использовать учетные записи администраторов по умолчанию, применять сложные пароли, ограничить сетевой доступ.
При самостоятельной реализации нужно продумать все эти моменты, а при привлечении интегратора — убедиться, что они не забыты в техническом задании. В сервисной модели всё это делает сервис-провайдер, при необходимости он может продемонстрировать процесс заказчику.
Эксплуатация
Сложность этого процесса зависит от динамики модернизации сетевой инфраструктуры. Если сеть настроена и изменения минимальны, администратор просто один раз в год обновляет ключи — и всё. Или почти всё: не стоит забывать о периодических аудитах политики безопасности. Актуальны ли правила доступа, написанные год назад? Обновлены ли пароли администраторов? Осуществляется ли регламентная проверка контрольных сумм критичных файлов, которая указана в правилах пользования? Также необходимо регулярно анализировать журналы — через SIEM-систему, если она поддерживает СКЗИ, или по старинке — вручную. Все эти задачи требуют времени квалифицированных инженеров. Интеграторы и сервис-провайдеры регулярно обучают своих специалистов. Если же заказчик решил заниматься эксплуатацией самостоятельно, то инвестиции в обучение ложатся на его плечи.
В части физической защиты, помимо требований к размещению, необходимо периодически контролировать целостность корпуса и пломбы-наклейки.
Разумеется, эксплуатация должна сопровождаться ведением соответствующих документов. Это, в частности:
- акты приема-передачи и ввода СКЗИ в эксплуатацию,
- справочно-ключевые дистрибутивы СКЗИ,
- приказ о назначении администраторов СКЗИ,
- журнал поэкземплярного учета СКЗИ,
- эксплуатационная и техническая документация к ним,
- ключевые документы,
- журнал учета лиц, допущенных к работе с СКЗИ,
- журнал учета ключей от помещений, в которых размещены СКЗИ,
- журнал учета печатей,
- заключение о допуске пользователя СКЗИ к самостоятельной работе,
- акт об уничтожении старой версии СКЗИ,
- журнал учета журналов (да-да, это не шутка).
Для добросовестного ведения такого перечня документации по парку оборудования из более чем 20 устройств в динамичной сети понадобится отдельный человек. А для хранения — помещение, оборудованное металлическими шкафами или сейфами.
Придет время, когда сертификат, выданный ФСБ России, закончится, и потребуется обновление. В лучшем случае для этого достаточно будет обновить программное обеспечение. Кроме того, нужно учитывать трудозатраты (собственных инженеров или интегратора) на выполнение самого обновления и адаптацию политики безопасности к новой версии. Нередко для нового программного обеспечения СКЗИ потребуется и новая аппаратная платформа, а это — уже другой уровень затрат: по сути, нужно купить всё заново, настроить, развести по объектам, а старое решение — утилизировать.
К тому же, в период обновления СКЗИ не может выполнять свои основные функции, поэтому понадобится выбрать некритичный для бизнеса интервал времени.
В техническом плане, если сеть невелика, происходит минимум изменений, офисы не переезжают, адресация и потоки трафика не меняются, — с эксплуатацией справится инженер заказчика. Однако для эксплуатации 24/7 понадобится уже целая бригада администраторов. То же справедливо и для динамично развивающейся сети: новые сервисы, новые потоки трафика, новые объекты создают существенную нагрузку на персонал. В этом плане сервис-провайдер явно выигрывает — «дежурка» уже есть и работает по отлаженным процессам.
Окончание жизненного цикла
Вывод из эксплуатации — отдельная процедура, описанная в документации к СКЗИ. Необходимо, как минимум, удалить ключевую информацию и деинсталлировать решение. Всё это оформляется специальным актом и отражается в журнале учета СКЗИ и ключей.
В интернете можно найти множество предложений по продаже бывших в употреблении СКЗИ. Это — и нарушение законодательства о лицензировании, и, возможно, утечка ключевой информации (если она не была заранее удалена). Такие нарушения грозят продавцу административной, а иногда и уголовной ответственностью. Рискует и сам покупатель — как он объяснит появление у него СКЗИ, которое изначально продано другому клиенту?
Выводы
Процесс эксплуатации СКЗИ регламентируется формуляром, правилами пользования и другой документацией. Из-за большого объема неподготовленному человеку довольно сложно разобраться в ней. В целом процессы внедрения и эксплуатации СКЗИ весьма ресурсоемки и требуют квалифицированного персонала, как в технической, так и в «бумажной» части.
Небольшая компания с несколькими офисами и некритичным простоем сервиса вполне может реализовать проект по криптозащите самостоятельно или с минимальным привлечением интеграторов. Эксплуатация 24/7 ей не требуется, а задачи в этой части можно распределить между имеющимися сотрудниками.
Компании, относящиеся к сегменту среднего бизнеса, предпочитают фокусироваться на основной деятельности и не погружаться во все нюансы работы с СКЗИ. Им выгоднее привлечь интегратора на полный цикл работ или воспользоваться услугами сервис-провайдера.
Самостоятельная реализация криптозащиты по силам лишь крупной компании с квалифицированным штатом ИТ/ИБ. Но и задачи у таких заказчиков более сложны и специфичны, поэтому они привлекают либо интеграторов (как минимум для проектирования и внедрения), либо сервис-провайдеров. Кстати, последний вариант позволяет им не только получить услугу требуемого качества «под ключ», но и избежать значительных капитальных затрат на проект.
